Son 2 haftadır “Pegasus” adlı casus yazılımı konuşuyoruz. Bunun en önemli yanı, kendi hatamız olmadan da casus yazılımla karşılaşabileceğimiz gerçeğiydi. Gerçi, sadece Whatsapp üstünden gelen (Whatsapp’ın bir açığından yararlanan) cevapsız aramaların bu tür sızmaya neden olduğu anlaşıldı ama bu bile, “acaba bu casus yazılımlar başka ne tür taktikler geliştiriyor” diye düşündürüyor insanı.
Yazının hemen başında belirtelim, daha önce “deniz” ile örneklemiştik, şimdi araba sürme ile örnekleyelim; internete açılıyorsanız, aynen arabanızla yola çıktığınızda olduğu gibi dikkatli olmanız ve araba sürmeyle ilgili kurallara uymanız kendi güvenliğinizi sağlamak açısından önemlidir.
Tekrar konumuza dönersek, Pegasus yazılımının geliştiricisi olan NSO Group’a ait olduğu iddia edilen 50 binden fazla gazeteci / aktivist / işadamının telefonunun kayıtlı olduğu listeyi 2 haftadır konuşuyoruz. Ama olaya bir de tersinden bakalım ve bu liste üzerinde çalıştığı kaydedilen Uluslararası Af Örgütü’ne soralım dedik. Aşağıda bu konuşmaya ait videoyu izleyebilirsiniz. Ama bu konuşmadan daha önce yazmadığımız bir kaç nota dikkat çekelim;
- 50 binlik listenin olduğu “Pegasus Projesi”nde Forbidden Stories’in liderlik ettiği 16 medya kuruluşu ve Uluslararası Af örgütü çalışıyor. AF Örgütü teknik, Forbidden Stories’in haber konusunda çalışmak üzere işbirliği yapmışlar.
- Listenin “Forbidden Stories” isimli bir gazetecilik örgütünün eline geçtiği kaydediliyor. Bu ele geçiş konusu “güvenlik” nedeniyle açıklanmıyor. (ama biz videodan sonraki bölümde bir kaç duyumu ve yorumu aktarıyoruz).
- “Forbidden Stories” risk altındaki gazetecilerin zorla kaybedilme, ölüm gibi durumlarda haberlerinin yok edilmemesi için çalışan bir kurum. Bu amaçla riskli bir haberdeyseniz, bu oluşumla paylaşıyorsunuz ve başınıza bir iş gelirse haberinizin peşine düşüyorlar. Burada 20’den fazla ülkeden gazeteci var.
- Pegasus projesinde, 80’den fazla gazeteci çalıştı. Af Örgütü teknik kısmını inceledi, Forbidden Stories ağında bulunan gazeteciler de haberini yaptılar.
- Uluslararası Af örgütü, Forbidden Stories ile işbirliği içinde olayın teknik tarafını üstlenmiş durumda. Berlin’de bulunan teknik ekip, listedeki bazı insanların cep telefonlarını kontrol ediyor. İçinde Pegasus’a ait kalıntı var mı diye bakılıyor.
- Liste “Forbidden Stories” tarafından 16 medya kuruluşu ile paylaşılmış. Bu çalışmada Türkiye’den kimse yok. Çünkü Forbidden Stories listeyi paylaştığı gazetecilerle zaten daha önceden başka projelerde çalışıyor.
- Listede Türkiye’den birileri var mı? Bu ancak incelenerek bulunabiliyor. Ama Af Örgütü, “Kişisel veriler kanunu”na işaret ederek, ancak kendisi kabul edenlerin açıklanabileceğini söylüyor.
- AF Örgütü Türkiye’de ikamet eden 3 kişinin cep telefonunda Pegasus bulmuş ve bu isimler açıklanmış. Cemal Kaşıkçı, Hatice Cengiz, Cemal Kaşıkçı’nın nişanlısı ve Azerbaycanlı bir gazeteci.
- Yine Cemal Kaşıkçı olayı ile ilgili olduğu için, Yasin Aktay ve İrfan Fidan olarak adı geçen isimler Guardian tarafından açıklanmış.
- Af Örgütü güvenlik önlemleri yeterince alınmadan ve rızasını alınmamış kişilerle ilgili açıklama yapmıyor. Fakat bu listede numarası bulunan isimlerin toplu halde haberdar edilmesi gibi bir niyetleri var. Kişiler kendinin listede olduğunu nasıl öğrenir konusuna şu an olumlu cevap verilemiyor.
- Doğrudan hedef olan ülkelerden birinin Türkiye olmadığını söylenebilir ama Türkiye’den bazı kişiler hedef alınmış. Sonuç olarak Türkiye’nin Pegasus’un müşterisi olmadığı düşünülüyor. Ama Türkiye’de başka casus yazılımlar var.
- Af örgütü bu listede kimlerin olduğuna dair bir çalışma yapılamayacağını, bu tür başvuru hacmi ile başa çıkılamayacağını belirtiyor.
- 50 binlik liste içindeki herkesin telefonlarına sızılamamış olunabileceği kaydediliyor.
- İncelenen telefonların % 85’inde NSO Group’Un yazılımının kalıntılarına rastlanmış.
- İsrailli NSO Grup Pegasus yazılımını rastgele satmadığı, daha çok diktatöriyel hükümetlere satıldığı anlaşılıyor. 50 binlik liste, şirketin müşterilerine düzenli teknik destek vermiş olabileceğini, yazılımın yeni açıklarla zenginleştirildiğini gösteriyor.
- “Sıfır tıklama” denilen teknoloji, 2019’da Whatsapp’ın bir açığından yararlanarak sadece Whatsapp üzerinden kullanılmış. Bu açık Whatsapp tarafından farkedildiğinde kapatılmış.
- Listeden görülen 2 tür saldırı var. Birincisi devletlerin insan hakları savunucusu ve gazetecileri hedef aldığı saldırılar. İkincisi şirketlerin kar amacı güderek verileri kullanması. Bazen şirketlerin devletlerle işbirliği yaptığı da anlaşılıyor
“İsrail’in onayı olmadan bu yazılım satılamaz”
Olayın bir de İsrail tarafı var. İsrail 2018’de Cemal Kaşıkçı olayı ortaya döküldüğünde, bu tür yazılımların İsrail Savunma Bakanından onay almayan devletlere satılmadığını ve diktatörlükle yönetilen ülkelere satılamayacağını söylemişti. Ama şimdi görülen bu ifade doğru değil.
2018’de Af Örgütü’nün öncülüğünde İsrail Savunma Bakanlığı’na karşı bir dava açılmaya çalışıldı. Sonuçta Mahkeme bu yazılımın satışının yasal olduğuna hükmetti.
Son 2 haftada olayların yayılmasından sonra İsrail’in yeniden bu firmayı soruşturduğu açıklandı. Ancak şirketin kurucularına ve hareket tarzına bakıldığında, İsrail hükümetinin ya da istihbarat örgütünün bu firmaya fazla uzak olmadığı anlaşılıyor.
Diğer yandan NSO Group aradaki süreçte çeşitli hareketler yaparak kendisini temizlemeye çalıştı. Örneğin Birleşmiş Milletlerle “kendi ürettiği yazılımların, insan hakları ihlalinde kullanılamayacağı” yönünde anlaşma imzaladı. Sonra da bir şeffaflık raporu yayınladı. Ama bu şeffaflık raporunun da doğru olmadığı anlaşılıyor.
Kamuoyu desteği çok önemli
Af Örgütü Kampanya Direktörü Tarık Beyhan, kamuoyu desteğinin önemine işaret ediyor;
“Dünyanın her yerinde bu tarz yazılımların satışının yasaklanmasına davet ediyoruz. Önemli olan kamuoyunun farkındalığının artması. Buradan bir adım öteye daha gideceğiz. Bunun için de kamuoyu desteği çok önemli oluyor. Devletler insan hakları ihlalleri yaparlar, ama sivil toplum görev alırsa geri adım atabilirler.”
NSO Group’un yazılımı bu protestolar sonrası ne olur bilemiyoruz. 2018’de olduğu gibi biraz gürültüden sonra, yeterli kamuoyu desteği olmaz ise kaldığı yerden devam edebilir. Ya da aynen 2014’de bilgileri sızan “Hacking Team” gibi değerini yitirebilir, satışları engellenebilir, şirket kapanabilir. Ama sonuç değişmez, NSO Group gider MSO Group gelir.
Bu nedenle Casus yazılımlar konusunda “FARKINDALIK” ve “ÖRGÜTLÜLÜK” çok çok önemli. Teknoloji hayatımızdan çıkmayacak. O zaman bilinçli olmamız lazım. Tıpkı bir arabayı kullanmak gibi, bunun da kurallarına dikkat etmemiz ve tehlikelerin bilincinde olmamız lazım.
Son olarak tamamen kendi yorumumuzla bu listenin ortaya çıkışına dair de 1-2 kelam edelim; bu olay içeriden birisinin gerçekleştirdiği bir olay gibi duruyor. Gerçi Kıbrıs’taki bir sunucunun çalınması gibi bazı tartışmalar var. Ancak bize bu olay
- Edward Snowden türü bir aktivistin
- Ya da Hacking Team benzeri bir rakibin işi olabilir diye düşündürüyor.
Bu da olayın dedikodu kısmı olsun.